Осы 3 қадаммен бұзылудан аулақ болыңыз

Әзірге сүйікті әндерімнің біріне қол тигізбедім деп ойлаймын, компьютер қауіпсіздігіжәне мен бүгін сізге айтайын деген тақырып осы болады деп сенемін 🙂 Осы шағын мақаладан кейін сіз өзіңіздің тәуекелдеріңізді неғұрлым жақсы басқаруға және оны қалай азайтуға көмектесетіні туралы көбірек біле аласыз деп үміттенемін. бір уақытта көптеген.

Барлық жерде тәуекелдер

Бұл тек сөзсіз, тек осы жылдың өзінде біз 15000-нан астам осалдығын анықтап, тағайындадық қоғамдық. Мен қайдан білемін? Менің жұмысымның бір бөлігі Gentoo-да қолданатын бағдарламалардағы CVE-ді тексеру, осал бағдарламалық жасақтаманы іске қосу-жібермеуді тексеру болғандықтан, біз оны жаңарта аламыз және дистрибутивтегі адамдардың барлығының қауіпсіз жабдықтармен қамтамасыз етеміз.

CVE

Жалпы осалдықтар мен зияндылықтар Ағылшын тіліндегі аббревиатура үшін олар әр осалдыққа тағайындалған бірегей идентификаторлар болып табылады. Бірнеше Gentoo әзірлеушілері адамзаттың жақсылығын қолдайды, олардың нәтижелерін түзетуге және түзетуге болатындай етіп зерттеп, жариялайды деп үлкен қуанышпен айта аламын. Мені оқудың соңғы ләззаттарының бірі болды Опциялар қан; бүкіл әлемдегі Apache серверлеріне әсер еткен осалдық. Неге мен бұған мақтанамын деп айтамын? Олар әлемге жақсылық жасайтындықтан, осалдықтарды құпия ұстау аз ғана пайда әкеледі, ал оның салдары мақсатқа байланысты апатты болуы мүмкін.

CNA

CNA - бұл CVE сұрауға және / немесе тағайындауға жауапты ұйымдар, мысалы, бізде Microsoft CNA бар, олардың осалдығын топтастыруға, оларды шешуге және тағайындауға жауапты CVE уақыт өткеннен кейін тіркеу үшін.

Шара түрлері

Ешқандай жабдық 100% қауіпсіз емес немесе қауіпсіз болмайтындығын түсіндіріп, кең таралған мақал ретінде:

Тек 100% қауіпсіз компьютер - бұл қоймаға жабылған, интернеттен ажыратылған және өшірілген компьютер.

Бұл шындық болғандықтан, тәуекелдер әрдайым белгілі немесе белгісіз болады, бұл уақыттың еншісінде, сондықтан тәуекелге байланысты біз келесі әрекеттерді жасай аламыз:

Оны азайтыңыз

Тәуекелді азайту оны төмендетуден басқа ештеңе емес (ЖОҚ жою). Бұл іскерлік тұрғыдан да, жеке деңгейден де өте маңызды және шешуші сәт, адам «бұзылғанды» қаламайды, бірақ шындықты айту тізбектегі ең әлсіз жер құрал-жабдық та, бағдарлама да, тіпті процесс емес , Бұл адам.

Біздің барлығымыз өзгелерді кінәлау әдетіміз бар, мейлі олар адамдар болсын немесе заттар болсын, бірақ компьютер қауіпсіздігінде жауапкершілік адамның мойнында және әрқашан солай болады, ол сіз емес тікелей болуы мүмкін, бірақ егер сіз дұрыс жолды ұстанбасаңыз, сіз мәселенің бір бөлігі. Кейінірек мен сізге кішкене қауіпсіздікті сақтау үшін кішкене айла беремін 😉

Оны ауыстырыңыз

Бұл белгілі қағида, оны а ретінде елестетуіміз керек Банко. Ақшаңызды күту қажет болғанда (физикалық тұрғыдан айтайын), ең қауіпсіз нәрсе - оны сізден әлдеқайда жақсы қорғауға қабілеті бар адамға қалдыру. Заттармен айналысу үшін сізге жеке қоймаңыздың болуы қажет емес (дегенмен, әлдеқайда жақсы болар еді), сізге өзіңізден гөрі жақсы нәрсені сақтайтын біреу болуы керек (сенетін).

Қабылдаңыз

Бірақ бірінші және екіншісі сәйкес келмегенде, шынымен де маңызды сұрақ туындайды. Бұл ресурс / деректер / т.б мен үшін қанша тұрады? Егер жауап көп болса, онда алғашқы екеуі туралы ойлану керек. Бірақ егер жауап а көп емесМүмкін сізге тек тәуекелді қабылдау керек шығар.

Сізге айту керек, бәрі жеңілдей бермейді, ал кейбір жеңілдетілетін нәрселер соншама ресурстарды қажет етеді, сондықтан көп уақыт пен ақшаны өзгертпестен және өзгертпей нақты шешімді қолдану іс жүзінде мүмкін болмас еді. Бірақ егер сіз қорғағыңыз келетін нәрсені талдай білсеңіз және ол бірінші немесе екінші сатыда өз орнын таба алмаса, оны үшінші сатыда ең жақсы жолмен қабылдаңыз, оған бұрынғыдан артық мән бермеңіз және оны шынымен құнды нәрселермен араластырмаңыз.

Жаңартып отыру үшін

Бұл жүздеген адамдар мен кәсіпкерлерден қашып құтылатын шындық. Компьютердің қауіпсіздігі дегеніміз - сіздің аудитіңізді жылына 3 рет сақтау және қалған 350 күнде ештеңе болмайды деп күту. Бұл көптеген жүйелік әкімшілерге қатысты. Ақыры мен өзімді сертификаттай алдым LFCS (Мен мұны қай жерде жасағанымды сіздерге қалдырамын 🙂) және бұл курстың маңызды кезеңі. Жабдықтар мен оның бағдарламаларын жаңартып отыру өте маңызды, аса маңызды, көптеген тәуекелдерді болдырмау үшін. Мұндағылардың көбісі маған айтады, бірақ біз қолданатын бағдарлама келесі нұсқада жұмыс істемейді немесе осыған ұқсас нәрсе, өйткені шындық - бұл сіздің бағдарламаңыз уақытша бомба, егер ол соңғы нұсқасында жұмыс істемесе. Бұл бізді алдыңғы бөлімге алып келеді, Сіз оны жұмсарта аласыз ба, оны ауыстыра аласыз ба, қабылдай аласыз ба? ...

Шындығын айту керек, есте сақтау керек, компьютерлік қауіпсіздік шабуылдарының 75% -ы іштен шығады. Бұл сіздің компанияда күдікті немесе зиянды пайдаланушыларыңыз болғандықтан болуы мүмкін. Немесе олардың қауіпсіздік процестері а хакерлік үй-жайларыңызға немесе желілеріңізге кіріп кіріңіз. Шабуылдардың 90% -дан астамы ескірген бағдарламалық жасақтамадан туындайды, жоқ осалдығына байланысты күн нөл.

Адам сияқты емес, машина сияқты ойлаңыз

Мен сізге осыдан кейін қалдыратын кішкене кеңес болады:

Машиналар сияқты ойлаңыз

Түсінбейтіндер үшін қазір мен сізге мысал келтіремін.

Джон Риппер бағдарламалық жасақтамасына арналған сурет нәтижесі

Мен сені таныстырамын Джон. Қауіпсіздік әуесқойлары арасында бұл сіз әлемде бастаған кезде ең жақсы бастаулардың бірі болып табылады этиканы бұзу. Джон ол біздің досымызбен керемет тіл табысады дағдарыс. Негізінен ол өзіне берілген тізімді алады және іздеген паролін шешетін кілт тапқанша комбинацияларды тексере бастайды.

Соққы комбинациялардың генераторы болып табылады. бұл дегеніміз, сіз 6 таңбадан тұратын, үлкен және кіші әріптерден тұратын парольді алғыңыз келетінін айта аласыз және дағдарыс бір-бірлеп сынала бастайды ... сияқты:

aaaaaa,aaaaab,aaaaac,aaaaad,....

Олар бүкіл тізімді қанша уақыттан кейін сенімді түрде өтуге болады деп ойлайды ... бұл бірнеше емес минуттар. Аузын ашып қалған адамдар үшін түсіндіріп берейін. Жоғарыда айтқанымыздай, тізбектің ең әлсіз буыны - адам және оның ойлау тәсілі. Компьютер үшін комбинацияларды тексеру қиын емес, ол өте жиі қайталанады және бірнеше жыл ішінде процессорлар соншалықты қуатты болды, бұл мыңдаған әрекетті жасау үшін бір секундтан артық уақытты қажет етпейді, тіпті одан да көп.

Бірақ қазір жақсы нәрсе, алдыңғы мысал адамның ойлауы, енді біз бұған барамыз машиналық ойлау:

Егер біз дағдарысқа құпия сөзді тек қана жасай бастаңыз деп айтатын болсақ 8 цифрлар, алдыңғы талаптарға сәйкес біз минуттардан минутқа өттік сағат. Егер сізге 10-нан көп пайдаланыңыз десек, не болатынын болжап көріңіз күндер. 12-ден астам уақытқа біз кірдік айларСонымен қатар, тізім қарапайым компьютерде сақталмайтын пропорциялардан тұратын болады. Егер біз 20-ға жетсек, онда компьютер жүздеген жылдар бойы шеше алмайтын нәрселер туралы айтады (әрине қазіргі процессорлармен бірге). Мұның математикалық түсіндірмесі бар, бірақ кеңістіктің себептері бойынша мен мұнда түсіндіргім келмейді, бірақ ең қызығы бұл оның ауыстыру, Las комбинаторлық және комбинациялары. Дәлірек айтсақ, ұзындыққа әр әріпті қосқанда 50-ге жуық болады мүмкіндіктер, сондықтан бізде келесідей болады:

20^50 соңғы құпия сөздің мүмкін болатын тіркесімдері. Калькуляторға осы санды енгізіп, 20 символдан тұратын кілт ұзындығының қанша мүмкіндігі бар екенін көріңіз.

Мен қалай машина сияқты ойлауға болады?

Бұл оңай емес, маған бірнеше адам қатарынан 20 әріптен тұратын пароль ойлап табуды айтады, әсіресе пароль деген ескі ұғыммен сөздер кілт. Бірақ мысалды қарастырайық:

dXfwHd

Мұны адам есте сақтауы қиын, ал машина үшін өте оңай.

caballoconpatasdehormiga

Екінші жағынан, бұл адамның есте сақтауы өте оңай (тіпті күлкілі), бірақ бұл тозақ дағдарыс. Енді маған біреуден көп айтады, бірақ пернелерді қатарынан ауыстырған жөн емес пе? Ия, бұл ұсынылады, сондықтан қазір біз екі құсты бір таспен өлтіре аламыз. Осы айда мен оқып жатырмын делік Дон Кихот де ла Манча, I том. Құпия сөзіме мен келесі нәрсені қоямын:

ElQuijoteDeLaMancha1

20 символ, мені білмей-ақ табу қиын, ең жақсысы - мен кітапты аяқтаған кезде (олар үнемі оқиды деп ойлаймыз), олар паролін өзгерту керек екенін біледі, тіпті:

ElQuijoteDeLaMancha2

Бұл қазірдің өзінде прогресс 🙂 және бұл сізге құпия сөздердің қауіпсіздігін сақтауға көмектеседі және сонымен бірге кітапты аяқтау керектігін ескертеді.

Менің жазғандарым жеткілікті, және мен көптеген басқа қауіпсіздік мәселелері туралы сөйлескім келеді, бірақ оны басқа уақытқа қалдырамыз 🙂 Сәлемдесу


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

7 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   пингвин дижо

    Өте қызықты!!
    Сіз Linux-ді қатайтатын оқулықтарды жүктей аласыз деп үміттенемін, бұл керемет болар еді.
    Рахмет!

    1.    ChrisADR дижо

      Сәлем 🙂 жақсы, маған біраз уақыт бере аласыз ба, бірақ мен өзіме өте қызықты болып табылатын ресурстармен бөлісемін

      https://wiki.gentoo.org/wiki/Security_Handbook

      Бұл испан тіліне аударылмаған, бірақ егер біреу оны қолын созып, көмектесуге шақырса, бұл керемет болар еді 🙂

      тілекпен

  2.   XoX дижо

    Өте қызықты, бірақ менің көзқарасым бойынша қатал шабуылдар ескіріп барады, және «ElQuijoteDeLaMancha1» сияқты парольдер жасау да тиімді шешім болып көрінбейді, өйткені аздаған әлеуметтік инженерия көмегімен құпия сөздерді табуға болады бұл түрі, адамды үстірт тергеумен ғана кең, және ол өзінің әлеуметтік желілерінде, таныстарында немесе жұмыста бізге оны ашады, бұл адам табиғатына жатады.

    Менің көзқарасым бойынша, ең жақсы шешім - бұл құпия сөз менеджерін пайдалану, өйткені 100 таңбалыдан гөрі 20 таңбалы құпия сөзді пайдалану қауіпсіз, сонымен қатар басты құпия сөзді білу арқылы оның артықшылығы бар құпия сөздерді батыста да ашу мүмкін емес, себебі олар белгісіз.

    Бұл менің құпия сөз менеджерім, ол ашық кодты және пернетақтаны эмуляциялау арқылы клейлогерлерге қарсы тұрады.

    https://www.themooltipass.com

    1.    ChrisADR дижо

      Мен 100-ге жуық сөзбен мүлдем қауіпсіз шешім (ештеңе 1500% өтпейтін нәрсе екенін есте ұстаған) сияқты көрсетпейтін сияқтымын 🙂 (егер бұл өте қажет болмаса, одан артық жазғым келмейді), бірақ дәл осылай айтқандай 100-дің 20-дан жақсы, 20-шы ұңғыманың 8-ден жақсы екендігі және жоғарыда айтқанымыздай, ең әлсіз буын - адам, сондықтан назар әрдайым осы жерде болады. Мен бірнеше «әлеуметтік инженерлерді» білемін, олар технологиялар туралы көп білмейді, бірақ қауіпсіздік техникасы бойынша кеңес беру жұмыстарын жүргізуге жеткілікті. Бағдарламалардан кемшіліктер табатын шынайы хакерлерді табу әлдеқайда қиын (белгілі нөлдік күн).
      Егер біз «жақсы» шешімдер туралы айтатын болсақ, онда біз осы салада тәжірибесі бар адамдар үшін тақырыпты енгізіп жатырмыз, мен кез-келген пайдаланушымен бөлісемін 🙂 бірақ егер сізге ұнайтын болса, «жақсы» шешімдер туралы басқа уақытта сөйлесуге болады. Сілтеме үшін рахмет, оның жақсы және жаман жақтарына сенімді болыңыз, бірақ бұл пароль менеджеріне де көп әсер етпейтін еді, сіз оларға шабуыл жасаудың жеңілдігі мен тілегіне таң қаласыз, ақыры ... бір жеңіс көптеген кілттерді білдіреді анықталды.
      тілекпен

  3.   Анасасис дижо

    Қызықты мақала, ChrisADR. Linux жүйесінің әкімшісі ретінде бұл құпия сөздерді жаңартып отыру үшін және қазіргі заманғы қауіпсіздікпен қамтамасыз ету үшін бүгінгі күні оған өте маңызды мән бермеу туралы жақсы ескерту. Тіпті бұл мақала 90% бас ауруының себебі пароль емес деп ойлайтын қарапайым адамдарға өте пайдалы болар еді. Компьютер қауіпсіздігі және біздің сүйікті операциялық жүйеде қауіпсіздікті қалай сақтау керектігі туралы көптеген мақалалар алғым келеді. Курстар мен тренингтер арқылы алған білімнен тыс көп нәрсені білуге ​​болады.
    Бұдан басқа, мен осы блогқа Gnu Linux-ке қол жеткізу үшін жаңа бағдарлама туралы білу үшін үнемі жүгінемін.

    Рахмет!

  4.   күн дижо

    «DonQuijoteDeLaMancha1» («DonQuijote de La Mancha» жоқ; p) неліктен «• M¡ ¢ 0nt®a $ 3Ñ @ •» -ден гөрі қауіпсіз, сандармен және егжей-тегжейлі түсіндіріп бере аласыз ба?
    Мен комбинаторлық математика туралы ештеңе білмеймін, бірақ мен жиі таңбалар жиынтығы бар қысқа парольден гөрі қарапайым таңбалар жиынтығы бар ұзын пароль жақсы деген жиі қайталанатын идеяға әлі сенімді емеспін. Латын әріптері мен сандарын қолдану арқылы мүмкін болатын комбинациялардың саны барлық UTF-8-ге қарағанда шынымен көп пе?

    Құттықтаулар.

    1.    ChrisADR дижо

      Сәлеметсіз бе, Дани, түсінікті болу үшін бөліп қарайық ... сізде сандық комбинациясы бар чемодандардың біреуінде құлып болған ба? Келесі жағдайды қарастырайық ... егер олар тоғызға жетсе, бізде бір нәрсе бар:

      | 10 | | 10 | | 10 |

      Әрқайсысының диаз мүмкіндіктері бар, сондықтан мүмкін комбинациялардың санын білгіңіз келсе, жай көбейтуді жасау керек, дәлірек айтқанда 10³ немесе 1000.

      ASCII кестесінде 255 маңызды таңба бар, олардың ішінде біз әдетте сандарды, кіші, бас әріптерді және кейбір тыныс белгілерін қолданамыз. Енді шамамен 6 опциядан тұратын 70 таңбалы пароль болады (үлкен, кіші, сандар және кейбір белгілер).

      | 70 | | 70 | | 70 | | 70 | | 70 | | 70 |

      Сіз ойлағандай, бұл өте үлкен сан, дәлірек айтсақ 117 649 000 000. Бұл 6-таңбалы кілт кеңістігі үшін болатын барлық мүмкін комбинациялар. Енді біз мүмкіндіктер спектрін әлдеқайда азайтатын боламыз, тек 45-ті қолданамыз (кіші әріптер, сандар және кездейсоқ символ), бірақ әлдеқайда ұзын парольмен, мүмкін 20 цифрмен айтамыз (мысал 21)

      | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 | | 45 |

      Мүмкіндіктердің саны… 1 159 445 329 576 199 417 209 625 244 140 625 ... Мен бұл санды қалай санауды білмеймін, бірақ мен үшін бұл сәл ұзағырақ :), бірақ біз оны одан да азайта түсеміз. , біз тек 0-ден 9-ға дейінгі сандарды қолданамыз, ал мөлшерде не болатынын көрейік

      | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 | | 10 |

      Осы қарапайым ереже арқылы сіз таңқаларлық 100 комбинацияларын ойлап таба аласыз :). Себебі теңдеуге қосылған әрбір цифр мүмкіндіктер санын экспоненциалды түрде көбейтеді, ал бір өріске мүмкіндіктерді қосу оны сызықтық түрде арттырады.

      Енді біз адамдар үшін «жақсы» нәрсеге барамыз.

      Практикалық тұрғыдан «• M¡ ¢ 0nt®a $ 3 write @ •» жазу қанша уақытты алады? Бір секундқа күн сайын жазып отыру керек деп есептейік, өйткені оны компьютерге сақтау сізге ұнамайды. Егер сізге қолдың қысылуын ерекше тәсілдермен жасау керек болса, бұл өте ауыр жұмыс болады. Бұл тезірек (менің көзқарасым бойынша) табиғи түрде жаза алатын сөздер жазу, өйткені тағы бір маңызды фактор - кілттерді үнемі ауыстырып отыру.

      Сонымен, ең бастысы ... Бұл сіздің жүйеңізді, қосымшаңызды, бағдарламаңызды жасаған адамның көңіл-күйіне, барлық UTF-8 барлық таңбаларын тыныштықпен қолдана алатындығына байланысты болады, кейбір жағдайларда ол тіпті ол есептеледі, өйткені бағдарлама сіздің кейбір парольдеріңізді «түрлендіреді» және оны жарамсыз етеді ... Сондықтан оны әрқашан білетін таңбалармен қауіпсіз ойнаған дұрыс шығар.

      Бұл күмән тудырады деп сенемін 🙂 Сәлемдесу